Lỗ hổng zero-day trong CrushFTP cho phép chiếm quyền admin qua giao diện web

[Màu của em]

Gần đây, nhà phát triển phần mềm CrushFTP - nền tảng máy chủ truyền tệp doanh nghiệp hỗ trợ FTP, SFTP, HTTP/S, đã cảnh báo về một lỗ hổng zero-day nghiêm trọng (CVE‑2025‑54309), cho phép tin tặc chiếm quyền quản trị (admin) từ xa thông qua giao diện web. Lỗ hổng này được định danh là CVE-2025-54309, được đánh giá có mức độ nguy hiểm cao (CVSS 9,0) và đã bị khai thác một cách chủ động ít nhất từ 18/7/2025. CrushFTP là phần mềm máy chủ được nhiều tổ chức sử dụng để truyền và quản lý tệp qua các giao...

Đọc bài gốc tại đây